Translated ['src/pentesting-cloud/aws-security/aws-privilege-escalation/

2026-02-04 19:11:41 -08:00 · 2025-02-15 01:16:01 +00:00
parent 445bc9f399
commit a8577439aa
3 changed files with 22 additions and 124 deletions
--- a/src/SUMMARY.md
+++ b/src/SUMMARY.md
@@ -292,6 +292,7 @@
    - [AWS - KMS Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-kms-privesc.md)
    - [AWS - Lambda Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lambda-privesc.md)
    - [AWS - Lightsail Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-lightsail-privesc.md)
+    - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md)
    - [AWS - Mediapackage Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mediapackage-privesc.md)
    - [AWS - MQ Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-mq-privesc.md)
    - [AWS - MSK Privesc](pentesting-cloud/aws-security/aws-privilege-escalation/aws-msk-privesc.md)
@@ -320,7 +321,6 @@
      - [AWS - Firewall Manager Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-firewall-manager-enum.md)
      - [AWS - GuardDuty Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-guardduty-enum.md)
      - [AWS - Inspector Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-inspector-enum.md)
-      - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md)
      - [AWS - Security Hub Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-security-hub-enum.md)
      - [AWS - Shield Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-shield-enum.md)
      - [AWS - Trusted Advisor Enum](pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-trusted-advisor-enum.md)
@@ -354,6 +354,7 @@
    - [AWS - KMS Enum](pentesting-cloud/aws-security/aws-services/aws-kms-enum.md)
    - [AWS - Lambda Enum](pentesting-cloud/aws-security/aws-services/aws-lambda-enum.md)
    - [AWS - Lightsail Enum](pentesting-cloud/aws-security/aws-services/aws-lightsail-enum.md)
+    - [AWS - Macie Enum](pentesting-cloud/aws-security/aws-services/aws-macie-enum.md)
    - [AWS - MQ Enum](pentesting-cloud/aws-security/aws-services/aws-mq-enum.md)
    - [AWS - MSK Enum](pentesting-cloud/aws-security/aws-services/aws-msk-enum.md)
    - [AWS - Organizations Enum](pentesting-cloud/aws-security/aws-services/aws-organizations-enum.md)
@@ -399,6 +400,7 @@
    - [Az - Tokens & Public Applications](pentesting-cloud/azure-security/az-basic-information/az-tokens-and-public-applications.md)
  - [Az - Enumeration Tools](pentesting-cloud/azure-security/az-enumeration-tools.md)
  - [Az - Unauthenticated Enum & Initial Entry](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/README.md)
+    - [Az - Container Registry Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-container-registry-unauth.md)
    - [Az - OAuth Apps Phishing](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-oauth-apps-phishing.md)
    - [Az - Storage Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-storage-unauth.md)
    - [Az - VMs Unauth](pentesting-cloud/azure-security/az-unauthenticated-enum-and-initial-entry/az-vms-unauth.md)
@@ -413,7 +415,7 @@
    - [Az - Azure App Services](pentesting-cloud/azure-security/az-services/az-app-services.md)
    - [Az - Cloud Shell](pentesting-cloud/azure-security/az-services/az-cloud-shell.md)
    - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-registry.md)
-    - [Az - Container Registry](pentesting-cloud/azure-security/az-services/az-container-instances.md)
+    - [Az - Container Instances](pentesting-cloud/azure-security/az-services/az-container-instances.md)
    - [Az - CosmosDB](pentesting-cloud/azure-security/az-services/az-cosmosDB.md)
    - [Az - Intune](pentesting-cloud/azure-security/az-services/intune.md)
    - [Az - File Shares](pentesting-cloud/azure-security/az-services/az-file-shares.md)
--- a/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md
+++ b/src/pentesting-cloud/aws-security/aws-privilege-escalation/aws-macie-privesc.md
@@ -1,14 +1,26 @@
-# Amazon Macie - Obilaženje `Reveal Sample` integriteta
+# AWS - Macie Privesc
+
+{{#include ../../../banners/hacktricks-training.md}}
+
+## Macie
+
+Za više informacija o Macie pogledajte:
+
+{{#ref}}
+../aws-services/aws-macie-enum.md
+{{#endref}}
+
+### Amazon Macie - Zaobilaženje `Reveal Sample` integritetske provere

 AWS Macie je bezbednosna usluga koja automatski otkriva osetljive podatke unutar AWS okruženja, kao što su akreditivi, lične identifikacione informacije (PII) i drugi poverljivi podaci. Kada Macie identifikuje osetljiv akreditiv, kao što je AWS tajni ključ smešten u S3 bucket-u, generiše nalaz koji omogućava vlasniku da pogleda "uzorak" otkrivenih podataka. Obično, kada se osetljivi fajl ukloni iz S3 bucket-a, očekuje se da tajna više ne može biti povučena.

-Međutim, identifikovano je **obilaženje** gde napadač sa dovoljnim dozvolama može **ponovo da otpremi fajl sa istim imenom** ali koji sadrži različite, neosetljive lažne podatke. To uzrokuje da Macie poveže novo otpremljeni fajl sa originalnim nalazom, omogućavajući napadaču da koristi **"Reveal Sample" funkciju** da izvuče prethodno otkrivenu tajnu. Ovaj problem predstavlja značajan bezbednosni rizik, jer tajne za koje se smatralo da su obrisane ostaju dostupne putem ove metode.
+Međutim, identifikovano je **zaobilaženje** gde napadač sa dovoljnim dozvolama može **ponovo da otpremi fajl sa istim imenom** ali koji sadrži različite, neosetljive lažne podatke. To uzrokuje da Macie poveže novo otpremljeni fajl sa originalnim nalazom, omogućavajući napadaču da koristi **"Reveal Sample" funkciju** da izvuče prethodno otkrivenu tajnu. Ovaj problem predstavlja značajan bezbednosni rizik, jer tajne za koje se smatralo da su obrisane ostaju dostupne ovom metodom.

-<img src="https://github.com/user-attachments/assets/c44228ae-12cd-41bd-9a04-57f503a63281" height="800" width="auto"/>
+![flow](https://github.com/user-attachments/assets/7b83f2d3-1690-41f1-98cc-05ccd0154a66)

-## Koraci za reprodukciju:
+**Koraci za reprodukciju:**

-1. Otpremite fajl (npr. `test-secret.txt`) u S3 bucket sa osetljivim podacima, kao što je AWS tajni ključ. Sačekajte da AWS Macie skenira i generiše nalaz.
+1. Otpremite fajl (npr., `test-secret.txt`) u S3 bucket sa osetljivim podacima, kao što je AWS tajni ključ. Sačekajte da AWS Macie skenira i generiše nalaz.

 2. Idite na AWS Macie Findings, locirajte generisani nalaz i koristite **Reveal Sample** funkciju da pogledate otkrivenu tajnu.

@@ -20,6 +32,6 @@ Međutim, identifikovano je **obilaženje** gde napadač sa dovoljnim dozvolama

 6. Primetite da Macie i dalje otkriva originalnu tajnu, uprkos tome što je fajl obrisan i zamenjen različitim sadržajem **iz različitih naloga, u našem slučaju to će biti napadačev nalog**.

-## Sažetak:
+**Sažetak:**

 Ova ranjivost omogućava napadaču sa dovoljnim AWS IAM dozvolama da povrati prethodno otkrivene tajne čak i nakon što je originalni fajl obrisan iz S3. Ako je AWS tajni ključ, pristupni token ili drugi osetljivi akreditiv izložen, napadač bi mogao iskoristiti ovu manu da ga povrati i dobije neovlašćen pristup AWS resursima. To bi moglo dovesti do eskalacije privilegija, neovlašćenog pristupa podacima ili daljeg kompromitovanja cloud resursa, što rezultira curenjem podataka i prekidima usluga.
--- a/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md
+++ b/src/pentesting-cloud/aws-security/aws-services/aws-security-and-detection-services/aws-macie-enum.md
@@ -1,116 +0,0 @@
-# AWS - Macie Enum
-
-## AWS - Macie Enum
-
-{{#include ../../../../banners/hacktricks-training.md}}
-
-## Macie
-
-Amazon Macie se izdvaja kao usluga dizajnirana za **automatsko otkrivanje, klasifikaciju i identifikaciju podataka** unutar AWS naloga. Koristi **mašinsko učenje** za kontinuirano praćenje i analizu podataka, prvenstveno se fokusirajući na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti ispitivanjem **cloud trail event** podataka i obrazaca ponašanja korisnika.
-
-Ključne karakteristike Amazon Macie:
-
-1. **Aktivna revizija podataka**: Koristi mašinsko učenje za aktivnu reviziju podataka dok se različite radnje dešavaju unutar AWS naloga.
-2. **Otkrivanje anomalija**: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja kako bi umanjila potencijalne rizike od izlaganja podataka.
-3. **Kontinuirano praćenje**: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju kako bi se prilagodilo obrascima pristupa podacima tokom vremena.
-4. **Klasifikacija podataka uz NLP**: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i tumačenje različitih tipova podataka, dodeljujući rizik ocene kako bi prioritizovao nalaze.
-5. **Praćenje bezbednosti**: Identifikuje podatke o bezbednosti, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.
-
-Amazon Macie je **regionalna usluga** i zahteva 'AWSMacieServiceCustomerSetupRole' IAM ulogu i omogućeni AWS CloudTrail za funkcionalnost.
-
-### Sistem upozorenja
-
-Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:
-
- Anonimizovani pristup
- Usklađenost podataka
- Gubitak kredencijala
- Eskalacija privilegija
- Ransomware
- Sumnjiv pristup, itd.
-
-Ova upozorenja pružaju detaljne opise i analize rezultata za efikasan odgovor i rešavanje.
-
-### Karakteristike kontrolne table
-
-Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:
-
- S3 objekti (po vremenskom opsegu, ACL, PII)
- Visoko rizični CloudTrail događaji/korisnici
- Lokacije aktivnosti
- Tipovi identiteta CloudTrail korisnika, i još mnogo toga.
-
-### Kategorizacija korisnika
-
-Korisnici su klasifikovani u nivoe na osnovu nivoa rizika njihovih API poziva:
-
- **Platinum**: Visoko rizični API pozivi, često sa administratorskim privilegijama.
- **Gold**: API pozivi vezani za infrastrukturu.
- **Silver**: Srednje rizični API pozivi.
- **Bronze**: Nisko rizični API pozivi.
-
-### Tipovi identiteta
-
-Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federisanog korisnika, AWS nalog i AWS uslugu, ukazujući na izvor zahteva.
-
-### Klasifikacija podataka
-
-Klasifikacija podataka obuhvata:
-
- Content-Type: Na osnovu otkrivenog tipa sadržaja.
- Ekstenzija fajla: Na osnovu ekstenzije fajla.
- Tema: Kategorizovana prema ključnim rečima unutar fajlova.
- Regex: Kategorizovana na osnovu specifičnih regex obrazaca.
-
-Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.
-
-### Istraživanje i analiza
-
-Funkcija istraživanja Amazon Macie omogućava prilagođene upite preko svih Macie podataka za dubinsku analizu. Filteri uključuju CloudTrail podatke, S3 Bucket svojstva i S3 objekte. Pored toga, podržava pozivanje drugih naloga da dele Amazon Macie, olakšavajući kolaborativno upravljanje podacima i praćenje bezbednosti.
-
-### Enumeration
-```
-# Get buckets
-aws macie2 describe-buckets
-
-# Org config
-aws macie2 describe-organization-configuration
-
-# Get admin account (if any)
-aws macie2 get-administrator-account
-aws macie2 list-organization-admin-accounts # Run from the management account of the org
-
-# Get macie account members (run this form the admin account)
-aws macie2 list-members
-
-# Check if automated sensitive data discovey is enabled
-aws macie2 get-automated-discovery-configuration
-
-# Get findings
-aws macie2 list-findings
-aws macie2 get-findings --finding-ids <ids>
-aws macie2 list-findings-filters
-aws macie2 get -findings-filters --id <id>
-
-# Get allow lists
-aws macie2 list-allow-lists
-aws macie2 get-allow-list --id <id>
-
-# Get different info
-aws macie2 list-classification-jobs
-aws macie2 list-classification-scopes
-aws macie2 list-custom-data-identifiers
-```
-#### Post Eksploatacija
-
-> [!TIP]
-> Iz perspektive napadača, ova usluga nije napravljena da detektuje napadača, već da detektuje osetljive informacije u sačuvanim datotekama. Stoga, ova usluga može **pomoći napadaču da pronađe osetljive informacije** unutar kanti.\
-> Međutim, možda bi napadač takođe mogao biti zainteresovan da je ometa kako bi sprečio žrtvu da dobije upozorenja i lakše ukrao te informacije.
-
-TODO: PR-ovi su dobrodošli!
-
-## Reference
-
- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/)
-
-{{#include ../../../../banners/hacktricks-training.md}}